Incidentes de segurança: pontos comuns e divergentes entre teles

A consulta pública sobre como deve ser feita a comunicação sobre incidentes de segurança com dados pessoais expôs os pontos divergentes e em comum entre as teles. As contribuições foram enviadas à Autoridade Nacional de Proteção de Dados (ANPD) entre 2 de maio e a última quinta-feira, 15.

Ao todo, a consulta reuniu 1,4 mil contribuições. Os tópicos mais comentados são os que resumem as principais regras para a comunicação dos incidentes de segurança diretamente à ANPD e aos titulares de dados – que juntos somam 129 sugestões. A minuta em consulta prevê um prazo de três dias úteis a partir do conhecimento do incidente, nos casos em que ele gerar risco ou dano relevante aos titulares afetados.

A proposta da autoridade prevê que o responsável pela comunicação será o controlador de dados , definido na Lei Geral de Proteção de Dados (LGPD) como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

A Tim, a Vivo e a Claro defendem um prazo maior, de 15 dias, contado a partir da “confirmação” do incidente de segurança ao invés do “conhecimento”.

A Vivo justifica que “o prazo de 3 dias úteis para comunicação de incidente de segurança não é suficiente para analisar se o incidente pode ou não causar risco ou dano relevante aos titulares afetados, em razão da complexidade técnica e da necessidade de investigação para apurar detalhes e riscos que o incidente pode acarretar”.

Contribuição da Oi, também compartilhada pela Conexis, entende que a definição do tempo exato para comunicação “não considera nenhum estudo técnico realizado por empresa especializada, deixando o argumento acerca do necessário prazo para uma avaliação sumária de eventual incidente apenas a cargo de prazos aleatórios optados por autoridades de proteção de dados internacionais”.

A operadora e a organização complementam ainda que “o ‘mero conhecimento’ do incidente não deveria deflagrar o dever de notificação” e o mais adequado é avisar os titulares a partir da confirmação, “pós avaliação da gravidade do incidente”.

Divergência

Houve diferentes visões das teles quanto à possibilidade de ANPD divulgar no site oficial da autoridade as informações sobre os incidentes “com o objetivo de trazer maior transparência, segurança e orientações aos titulares afetados, observados os segredos comercial e industrial”.

Para a Vivo e a Conexis, esse trecho deveria ser excluído da regulação, “considerando que já existe a comunicação tanto para a ANPD como para o titular afetado”.

Já a Claro, por sua vez, defende que a ANPD poderá divulgar os casos desde que estes já “devidamente comunicados pelos respectivos controladores”.

Larga escala

Outro ponto que gera críticas desde a publicação da norma que definiu as punições previstas pela ANPD é o conceito de larga escala. Ele é considerado para análise da gravidade do incidente de segurança, sendo um dos critérios para definir se há ou não risco ou dano relevante aos titulares (saiba mais abaixo).

A minuta da autoridade sugere que “os incidentes de segurança com dados pessoais em larga escala serão assim caracterizados quando abrangerem número significativo de titulares, considerando, ainda, o volume de dados envolvidos e a extensão geográfica de localização dos titulares”.

Para a Claro, “a ANPD deverá detalhar parâmetros mais específicos sobre o que considera número significativo de titulares”. A Conexis complementou que o conceito proposto “não é suficiente para garantir segurança jurídica e estabelecer critérios objetivos para a análise da criticidade do incidente”.

Dano relevante

Já para o conceito de dano relevante, há uma outra discussão. A ANPD propõe que “um incidente de segurança com dados pessoais pode acarretar risco ou dano relevante aos titulares quando tiver potencial de afetar significativamente interesses e direitos fundamentais dos titulares” e envolver pelo menos um dos seguintes critérios:

dados sensíveis;
dados de crianças, de adolescentes ou de idosos;
dados financeiros;
dados de autenticação em sistemas; ou
dados em larga escala.

A Conexis sugere que o dano relevante seja aqueles incidentes que envolverem apenas dados pessoais sensíveis, dados de crianças e de adolescentes ou dados em larga escala. O memso entendimento foi reforçado em contribuições individuais pela Claro e pela TIM.

Sobre a inclusão de idosos, as teles entendem que “não existe previsão específica na LGPD para a consideração de uma proteção especial dos dados pessoais de idosos, especialmente no que se assemelha aos dados de crianças e adolescentes, que possuem uma proteção específica na LGPD”.

Já a Oi questionou também a citação a crianças e adolescentes. “Em que pese o art. 14 da LGPD, em consonância ao Estatuto da Criança e do Adolescente, indicar maior preocupação e zelo frente às pessoas naturais menores de idade, nem sempre a ‘simples’ existência de um dado pessoal destas categorias de titulares deveria ensejar grau de risco maior ao caso concreto”, argumentou.

Para a Oi, generalizar como dano relevante o envolvimento de dados de crianças e adolescentes “abre espaço para situações que fogem ao real objetivo do regulamento […] especialmente num cenário de capacidade jurídica cada vez menos atrelada à idade”.

“O mesmo vale para titulares de dados pessoais idosos, cuja idade mais avançada nem sempre deveria ensejar, objetiva e imediatamente, maior gradação de risco”, defende a Oi.

Veja a íntegra da consulta pública sobre os incidentes de segurança neste link.